Empêtré dans son piratage, qui a mené à l'espionnage de dizaines d'agences fédérales américaines, SolarWinds vient d'annoncer une palanquée de nouvelles mesures, dont le recrutement au titre de consultants externes d'un binôme aussi expert en cybersécurité que médiatique, Chris Krebs, ex-patron de la CISA, et Alex Stamos, l'ancien monsieur Sécurité de Facebook. 

SolarWinds n’en finit pas de patauger dans l’affaire de piratage d’Orion et d’espionnage qui a éclaté en fin d’année. L’éditeur texan vient ainsi de remplacer son patron par Sudhakar Ramakrishna, jusqu’alors CEO de Pulse Secure. Quoique celui-ci assure dans un post de blog que sa nomination avait été décidée bien avant la cyberattaque, ou plus exactement “avant que l’entreprise ne soit notifiée de la cyberattaque”, il entend bien remettre de l’ordre dans les défenses de SolarWinds. 

“Forts de ce que nous avons appris de cette attaque, nous réfléchissons également à nos propres pratiques de sécurité et recherchons des opportunités pour améliorer notre posture et nos politiques” écrit-il, “dans le but de faire de SolarWinds un leader de la sécurité des logiciels d'entreprise. Ces efforts de transformation exigeront une attention particulière sur les programmes, les politiques, les équipes et la culture de sécurité”.

L’Agence Cyber Risques

Le nouveau CEO de l’éditeur par qui le mal est arrivé liste ainsi les mesures que SolarWinds s’apprête à prendre. Nouveaux logiciels d’EDR (endpoints detection & response), remise à plat des accès, des privilèges et des informations d’identification de ses salariés, déploiement de l’authentification multifacteur, meilleur contrôle des accès à ses environnement de développement, étapes supplémentaires de vérification du code de ses logiciels, réalisation de pentest... autant de mesures que l’on aurait pu croire basiques dans une société de la taille de SolarWinds. 

Surtout, Sudhakar Ramakrishna veut s’entourer d’experts en cybersécurité. Et il a pour ce faire recruté un duo de choc. Le premier fut, après un passage par Yahoo!, le RSSI de Facebook. Démissionnaire dans la foulée du scandale Cambridge Analytica, il est depuis professeur à Stanford, tout en donnant un petit coup de main à Zoom en avril dernier. Le second était le Guillaume Poupard américain. Patron de la CISA, l’équivalent de l’Anssi aux États-unis, il a été viré par Donald Trump pour avoir assuré que, sur le plan électronique, les élections n’avaient pas été entachées d’irrégularités. Ensemble, ils ont créé leur cabinet de conseil en cybersécurité, le bien nommé KSG, pour Krebs Stamos Group. 

Car il s’agit, vous l’aurez compris, d’Alex Stamos et de Chris Krebs. Qui sont donc recrutés en qualité de consultants externes par SolarWinds. “Nous avons fait appel à l'expertise de Chris Krebs et d'Alex Stamos pour nous aider dans cette enquête et fournir des conseils sur notre parcours pour évoluer vers une société de développement de logiciels sécurisés leader du secteur” explique l’éditeur à Reuters.

L’entreprise texane par qui le mal s’est invité dans les réseaux d’entreprises et d’agences gouvernementales américaines prenait à la légère sa sécurité. Et avait relocalisé la maintenance de ses logiciels dans ses bureaux d’Europe de l’Est. Une découverte qui fait tache. 

Trois semaines après que l’intrusion de hackers, a priori à l’initiative de la Russie, ait été découverte dans les réseaux de nombreuses organisations américaines, les motivations et l’impact de cette attaque restent sujettes à caution. Surtout suite à l’annonce de Microsoft : les attaquants ont pu consulter le code source de certains de ses programmes. 

L’enquête que débute le New York Times, quoique le journal souligne qu’il faudra des mois sinon des années pour connaître l’étendue des dégâts, va dans le sens d’une attaque de plus grande ampleur qu’initialement estimée. En effet, ce ne sont pas une trentaine de réseaux auxquels les hackers ont eu accès par le biais des failles des logiciels de SolarWinds, mais au moins 250 réseaux. Et ce nombre continue d’augmenter alors que Microsoft ou encore Amazon mènent l’enquête de leur côté. Les premières estimations, du FBI notamment, étaient donc bien en-deçà de la réalité. 

Négligence

SolarWinds est de plus en plus pointé du doigt et sa responsabilité mise en cause. L’entreprise texane n’a certes pas été le seul élément de la chaîne logistique à avoir été utilisé par les attaquants. CrowdStrike a ainsi révélé avoir été ciblé par les hackers, mais sans succès, par le biais d’un autre revendeur de produits Microsoft. SolarWinds, pour sa part, se présente comme une victime d’une attaque “particulièrement sophistiquée”. 

Pourtant, l’enquête du NYTpointe les nombreuses lacunes de la part de l’entreprise d’Austin. A commencer par la politique de rationalisation des dépenses menée par la direction de SolarWinds, qui ne considérait pas la sécurité comme une priorité quand bien même elle compte parmi ses clients moult agences gouvernementales. Bilan, une marge annuelle qui a triplé en une décennie, mais des failles nombreuses. Ce n’est qu’en 2017, sous la menace d’une sanction des autorités européennes à l’aune du RGPD, que SolarWinds a commencé à se pencher sur la sécurité de ses solutions. 

L’arrière-cour de la Russie

D’autant que, pour réduire ses coûts, l’entreprise a délocalisé une bonne partie de ses activités d’ingénierie en République Tchèque, en Pologne et en Biélorussie. Où ses ingénieurs avaient accès à l’outil de gestion de réseaux Orion, exploité par les attaquants. Or SolarWinds elle-même souligne que l’exploitation de ses solutions était l'œuvre d’humains, et non d’un programme informatique... La menace était-elle interne ? 

Néanmoins, le problème est moins la localisation de ces équipes d’ingénieurs en Europe de l’Est que l’absence d’information des clients de SolarWinds à ce sujet. Ceux interrogés par le New York Times expliquent ne pas être au courant qu’ils utilisaient des logiciels dont la maintenance était assurée à l’étranger. La plupart ignoraient d’ailleurs utiliser Orion, ou d’autres programmes de SolarWinds, jusqu’à très récemment... 

Dans un communiqué analysant les failles ayant permis le hacking de SolarWinds, Microsoft révèle avoir trouvé un deuxième malware dans le même logiciel Orion, attaqué quelques jours auparavant.

Quelle est l’ampleur des dégâts subis par SolarWinds ? Après les révélations de la compromission de son logiciel Orion par des hackers ainsi que la vente de 280 millions d’actions six jours avant les révélations de la cyberattaque incriminant un de ses produits, Microsoft vient s’ajouter aux concerts des mauvaises nouvelles.

L'une de ses installations d'Orion, l'outil dont les hackeurs ont utilisé les mises à jour pour insérer un code malveillant et dérober les informations de plusieurs administrations et entreprises, hébergeait un deuxième malware, selon les analyses d’une enquête menée par Microsoft sur les raisons du hacking et publiées sur son site.

« Notre enquête sur le hacking de SolarWinds a mené à la découverte d’un autre malware affectant aussi le software Orion mais n’ayantprobablementaucun lien avec la première faille et provenant d’une autre source », indique Microsoft dans son rapport.

Le programme, une backdoor appelée Supernova, permet au hackeur d’envoyer et d’exécuter un programme malicieux sur le produit ciblé. Il serait stocké dans la mémoire de l’ordinateur et non sur son disque, lui permettant d’échapper à certains logiciels de cybersécurité, selon des chercheurs de chez Palo Alto Networks interrogés par Cyberscoop.

L’étendue des dégâts causés par la première cyberattaque n’a toujours pas fini d’être connue. Des entreprises comme Cisco, Intel, Nvidia, VMware, Deloitte ou encore Belkin mais aussi une université et un hôpital feraient tous partie des victimes de l’attaque, selon le Wall Street Journal. Tous utilisaient le software Orion.

Un mot de passe « solarwinds123 » enregistré par un stagiaire quelques années auparavant sur un compte GitHub aurait permis la fuite massive de données a révélé l’entreprise lors d’une audition, vendredi dernier.

L’affaire du Solorigate n’en finit plus de délivrer son lot de rebondissements alors que la pleine mesure de l’ampleur du hack est encore difficile à évaluer. Au centre des débats désormais figure un mot de passe à la simplicité confondante, l’œuvre d’un stagiaire. Une légèreté de plus quant à sa sécurité, après avoir délocalisé la maintenance de ses logiciels dans ses bureaux d’Europe de l’Est.

Pour accéder à l’un des serveurs de SolarWinds, il fallait entrer le mot de passe « solarwinds123 » qu’un stagiaire avait enregistré en 2017, a reconnu Sudhakar Ramakrishna, actuel président de SolarWinds, lors d’une audition devant la Comité d’investigation de la Chambre des Représentants américain, le vendredi 26 février.

« Dès que[ce mot de passe] a été identifié par mon équipe de sécurité, il a été retiré », a également précisé Kevin. B. Thompson, ancien directeur de SolarWinds, ajoutant que le mot de passe avait été posté sur un compte interne et confirmant, par là même, l’existence de ce mot de passe révélé par la presse américaine.

« J’ai un mot de passe plus sécurisé pour empêcher mes enfants de regarder trop de vidéos sur YouTube sur leurs iPad », leur a répondu Katie Porter, représentante démocrate de l’État de Californie, et rapporté par Gizmodo.

Insondable

Les chefs d’entreprise de Microsoft, FireEye ainsi que l’actuel et l'ancien président de SolarWinds étaient tous entendu devant la commission pour tenter de faire la lumière sur l’une des failles de cybersécurité les plus importantes de ces dernières années, désormais appelée Solorigate, trois jours après s’être entretenus avec les membres du Sénat.

« Il est vraisemblable que nous ne connaissions jamais l’étendue complète des dégâts de l’attaque ainsi que l’étendue des bénéfices dont pourraient en bénéficier nos adversaires », a notamment prévenu Kevin Mandia, directeur de FireEye, devant les membres de la commission.

Le gouvernement américain a incriminé le gouvernement russe dans l’affaire. Celui-ci a toujours démenti en être l’auteur.